Esto incluye, pero no se limita a:
* Personal autorizado dentro de su organización: Esto podría incluir personal de TI específico, personal de seguridad, gestión involucrada en decisiones de seguridad y personas cuyos roles requieren acceso a datos confidenciales para cumplir con sus funciones. El acceso debe otorgarse de manera necesaria, con roles y permisos claramente definidos.
* Se asocia externo con un NDA firmado (acuerdo de no divulgación): En algunos casos, es posible que deba compartir información con socios externos, como proveedores, consultores o auditores. Sin embargo, esto siempre debe gobernarse por un NDA legalmente vinculante que describe las obligaciones de confidencialidad del destinatario.
* Cuerpos de aplicación de la ley o reguladores: En ciertas situaciones, puede estar legalmente obligado a divulgar información de seguridad confidencial a las agencias de aplicación de la ley o reglamentarios que realizan investigaciones. Esto debe hacerse de acuerdo con los procedimientos y requisitos legales.
nunca Compartir información de seguridad confidencial con:
* individuos no autorizados: Esto incluye colegas sin una necesidad legítima de saber, amigos, familiares o cualquier persona fuera del grupo de acceso autorizado definido.
* Foros públicos: Nunca publique información de seguridad confidencial en línea, incluidas las redes sociales, los foros o los sitios web públicos.
* fuentes no verificadas: Tenga cuidado con las solicitudes no solicitadas de información de seguridad. Verifique la identidad y la legitimidad de cualquier persona que solicite acceso.
Las personas o entidades específicas autorizadas para recibir información de seguridad confidencial variarán según la organización, el tipo de información y las leyes y reglamentos aplicables. Una política de seguridad bien definida y procedimientos de control de acceso son esenciales para garantizar el manejo de información adecuado.